در این مقاله از مجله شبکه ارغوان به معرفی مفاهیم اساسی فایروال در میکروتیک می پردازیم. نحوه اضافه کردن قوانین را به شما آموزش می دهیم. محل قرار گرفتن قوانین و اصول اولیه آنها را می آموزیم. لذا برای شروع ابتدا باید به روتر خود متصل گردید. آیا تاکنون به روتر میکروتیک خود متصل شده اید؟ مقاله Winbox سریع ترین راه مدیریت روتر میکروتیک را به شما آموزش می دهد
معرفی فایروال در میکروتیک
اگر تاکنون به روتر خود متصل نشده اید و این اولین بار است که می خواهید به آن وصل گردید،حتما یک رمز عبور قوی تنظیم کنید. نام کاربری قبلی را نیز تغییر دهید و یک نام کاربری جدید را ایجاد کنید. نیازی به مدیریت چیز دیگری نداریم فقط رمز قوی را تنظیم و دوباره لاگین کرده و با اسم و رمز جدید وارد گردید. شماره حساب ادمین قبلی را حذف کنید.
Filter Rules
پس از ورود به وین باکس و اتصال به روتر صفحه ای را مشاهده می کنید. این صفحه در سمت چپ خود ابزارهای مختلفی را نشان می دهد. از منوی وین باکس گزینه IP را انتخاب کرده و سپس گزینه Firewall را باز کنید. پنجره ای باز می گردد که در بالای پنجره تب Filter Rules را می بینید. این قسمت شامل تمام قوانین (Rules) فایروال شما قرار دارد. غالب روترهای میکروتیک به صورت پیش فرض دارای فایروال هستند و نیاز به تنظیمات دارند.
این مقاله نحوه عملکرد فایروال را در روترهای خانگی نشان می دهد که فایروال استاندارد روی آن ها قرار دارد. در ابتدا باید بدانید که قوانین در روترها بر اساس ترتیب خاصی قرار می گیرند. این ترتیب بر اساس Chain، آدرس مقصد، آدرس منبع صورت می گیرد. ترتیب و مراحل چیدمان باید طبق ترتیب اصلی قرار گیرد. اگر اعداد و فایروال ها نامرتب باشد روی علامت # کلیک کرده تا تمام قوانین براساس ترتیب اصلی مرتب گردد.
پنجره Chain Firewall
در پنجره Chain Firewall فهرستی از تمام قوانینی که اضافه کردیم را مشاهده می کنید. قوانین در دسته بندی forward ،input و output قرار می گیرد. حال سوال این است که این پنجره chain چه کاری انجام می دهد؟
forward chain
در دسته بندی forward تمام بسته های ترافیکی که از روتر عبور می کنند پردازش می گردند. یعنی تمام قوانینی که در دسته بندی forward قرار می گیرد به تمام ترافیک هایی که از جایی به جای دیگر از طریق روتر ارسال می گردد نگاهی می اندازد. وقتی به عنوان یک کاربر وب سایتی را مرور می کنید، تمام ترافیک از رایانه شما از طریق روتر به وب سایت منتقل می گردد و بالعکس. یعنی از وب از طریق روتر به رایانه شما منتقل می گردد. تمام این مراحل از طریق forward chain پردازش می گردد. پس اگر قصد دارید دسترسی کاربری را به یک وب سایت محدود یا مسدود کنید از این دسته بندی استفاده می کنید.
input chain
زنجیره یا بسته بندی input برای پردازش بستههایی استفاده می گردد که از طریق یکی از رابطها وارد روتر می شوند . این رابط ها با آدرس IP مقصد این کار را انجام می دهد. این آدرس ها معمولا یکی از آدرسهای روتر است. بستههای عبوری از روتر برخلاف قوانین زنجیره ورودی پردازش نمیشوند. به زبان ساده تر قوانینی هستند که به ترافیکی که به سمت روتر می رود نگاهی می اندازد. مثلا اگر می خواهید روتر خود را از حملات مهاجمان اینترنتی محافظت کنید شما باید قوانین را روی input chain قرار دهید. از آنجائیکه شبکه ها به طور کامل ایمن نیستند باید از روتر خود مراقبت کنید خواه در برابر شبکه های LAN و خواه در برابر شبکه های محلی.
output chain
این دسته بندی برای پردازش بسته هایی استفاده می شوند که از روتر سرچشمه می گیرند و از طریق یکی از رابطها از آن خارج می شوند. غالبا از این دسته بندی استفاده نمی گردد. به همین دلیل است که هیچ استاندارد یا پیش فرضی ندارد زیرا منشا اصلی آنها از روتر است.
New Firewall Rule
گزینه ای وجود دارد که می توانیم Chain و دسته بندی خود را درست کنیم. بنابراین روی علامت + کلیک کرده و پنجره New Firewall Rule باز می گردد. شما از میان سه دسته بندی می توانید دسته بندی خود را درست کنید. لذا در کادر نامی که خود دوست دارید در آنجا تایپ می کنید.
مراحل اضافه کردن Rule فایروال در میکروتیک
فرض کنید که می خواهید دسترسی به روتر خود را از طریق اینترنت و با IP آدرس خودتان فراهم کنید. برای مثال من می خواهم از دفتر کار خودم به روترخانگی با آدرس IP خودم وصل گردم. این مراحل را اجرا می کنم. ابتدا به سراغ دسته بندی chain رفته و گزینه input را انتخاب می کنم در گام بعدی از همان پنجره یک پورت خاص را دنبال کرده و آنرا فعال می کنم. برای فعال کردن باید از طریق نرم افزار Winbox شروع می کنم. در کادر Protocol گزینه tcp و از Destination.port باید به وین باکس اجازه دسترسی بدهید.
شماره پورت را چگونه پیدا کنم؟
اما سوال این است که شماره پورت چند است؟ براحتی به گزینه IP و سپس Services رفته و لیست آدرس های دسترسی را مشاهده می کنید.
از آنجائیکه که به وین باکس اجازه فعالیت دادم پس شماره پورت وین باکس را کپی کرده و در داخل کادر Dest.port اضافه می کنم. در کادر Address Src آدرس IP منبع را وارد می کنم. در این جا آدرس IP دفتر کار را وارد می کنم. اگر به تمام افراد در دفتر کارم اعتماد دارم می توانم اجازه دسترسی بدهم. اما فراموش نکنید که این کار ریسک بالایی دارد. بعد روی سربرگ Action کلیک کرده و مشاهده می کنم که در داخل کادر Action گزینه accept را نشان می دهد روی Ok کلیک کرده و به ترافیک اینترنت اجازه ورود ترافیک را می دهم. بدین ترتیب شما یک قانون را اضافه کردید که در اگر به فهرست قوانین فایروال مراجعه کنید، آخرین قانون که اضافه گردیده قانون شما بوده است.
گفتیم که ترتیب قوانین بسیار مهم است. در لیست من آخرین قانون می گوید که باید ترافیک متوقف شود لذا قانون جدید اجرا نمی گردد. من قانون جدید را به بالا drag می کنم و جای قانون حذف می گذارم. می بینید که قانون جدید می تواند در روتر من اجرا گردد.
حذف IP آدرس خاص در فایروال میکروتیک
حال اگر بخواهم دسترسی کاربری را به روترم مسدود کنید. ابتدا در سربرگ New Firewall Rule در پنجره General روی گزینه copy کلیک می کنیم تا قانون قبلی را از دست ندهیم. دوباره پنجره General را باز کرده ودر پنجره Address Src آدرس کاربری را از کارمندان دفتر خودم که می خواهم مسدود کنم را وارد می کنم. سپس روی Action کلیک کرده و در کادر Action گزینه drop را انتخاب می کنم. حالا Ok را در این صفحه کلیک می کنم. در لیست قوانین فایروال مشاهده می کنیدکه آدرس دسترسی کارمند مورد نظر حذف گردیده و دسترسی به روتر مسدود گردیده است.
فعال کردن Safe Mode
نکته قابل توجه در این قسمت اهمیت امنیت است. قبل از هر عملی برای پیکربندی روتر خود از راه دور تب Safe Mode را فعال کنید. لذا روی سربرگ Safe Mode کلیک می کنیم و بدین ترتیب با فعال شدن این حالت ایمنی روتر و فعالیت هایی که در حال اجراست مانیتور می گردد. اگر بنا به هردلیل در جریان اجرای قوانین مشکلی پیش آمده باشد پیام هایی دریافت خواهید کرد. این پیام به شما خواهد گفت که اتصال قطع گردیده و مشکلی وجود دارد. همچنین همانطور که در بالا مشاهده کردید من یک بار این قانون را کپی کردم. کپی کردن نیز یک قانون را ایجاد کرد. وقتی مشاهده کردید که هیچ پیام هشداری نشان نداد و همه چیز درست است یعنی اتصال برقرار است. پس مشکلی نیز وجود ندارد و حالت ایمنی وجود دارد، لذا Safe Mode را غیر فعال می کنیم.
نکته: توصیه من به شما این است که از Vpn استفاده کنید و همچنین IP Sec را در دستگاه خود فعال کنید و سپس آنرا مدیریت و اداره کنید. امنیت اولین اصل فایروال در میکروتیک است.
مسدود کردن وب سایت توسط Fire wall
بعضی از افراد از پروتکل های لایه 7 اقدام به مسدود کردن وب سایت مورد نظر خود می کنند. اما این پروتکل برای مسدود کردن صفحات وب نیست زیرا منابع آن بسیار فشرده می باشد و در واقع آنها محتویات بسته ها را تجزیه و تحلیل می کنند که مسدود کردن با آنها امکانپذیر نیست. ما با ترافیک رمزگذاری شده سروکار داریم.
امروزه همه وب سایت ها https هستند اگر می خواهید یکی از آنها را مسدود کنید باید در لیست فایروالها اگر قوانینی مبنی بر Fast track connection دارید را با کلیک روی علامت × غیرفعال کنید. سپس روی علامت + کلیک کنید تا قانون جدید را بسازید.
ساخت قانون جدید برای مسدود کردن سایت
در کادر Chain دسته بندی Forward را انتخاب می کنید. در کادر In interface List گزینه LAN که مربوط شبکه محلی است را انتخاب می کنید. سپس در پنجره Advanced کادر TLS Host می توانید یک قسمت از دامنه را وارد کنید که من در اینجا با علامت* mikrotik*را وارد می کنم. سپس دوباره به پنجرهAction در کادر Action گزینه drop را انتخاب و Ok را کلیک می کنیم. بدین ترتیب سایت مورد نظر مسدود می گردد. اکنون در لیست Firewall آخرین قانون را که مسدود کردن سایت مورد نظر شما است درج می گردد.
همانطور که قبلا گفتیم ترتیب در قوانین فایروال بسیار مهم است لذا به ترتیب قرار گرفتن دسته بندی ها نگاه می کنیم. در نمونه ای که من انجام دادم این قانون جدید را Drag کرده و به بالا لیست می کشم و آنرا قبل از قانون حذف کردن تمام قوانین فایروال قرار می دهم.
اگر بخواهم سایت را از حالت بلاک و مسدودی در بیاورم، با انتخاب و کلیک روی علامت × این قانون لغو می شود و دسترسی به سایت مورد نظر دوباره برقرار می گردد.
جمع بندی
نمای کلی از تب Firewall Filter Rules در این مقاله مورد بررسی قرار گرفت. فراموش نکنید که Firewall Rules به ترتیب پردازش می گردند لذا ترتیب اهمیت زیادی دارد. لذا باید براساس اعداد مرتب گردند. همچنین به دسته بندی ها و Chains توجه کنید. دسته بندی Forward برای ارسال ترافیک از LAN به اینترنت و بالعکس استفاده می گردد. دسته بندی Input برای ارسال ترافیک به روتر استفاده می گردد. مطالبی که ذکر شد اصول اولیه ای بود که بسیار اهمیت دارد. می توانید سایر تنظیمات را نیز در پنجره قوانین جدید مشاهده کنید.
اگر اطلاعات بیشتری از فایروالها نیاز دارید می توانید به سایت میکروتیک رفته و در قسمت Support کلیک کرده https://mikrotik.com/support و روی دکمه قرمز کلیک کرده در قسمت منو روی گزینهIP /Firewall/Filter کلیک کرده و تمام مستندات و توضیحات را مطالعه کنید. همچنین توصیه می کنم که روی گزینه Securing your Router کلیک کنید. این قسمت توصیه های کلی به شما می دهد که چگونه روتر خود را ایمن نگه دارید.